Grupos de identidades especiales
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Obtenga información sobre los grupos de identidades especiales de Windows Server (a veces denominados grupos de seguridad) que se usan para el control de acceso de Windows.
¿Qué es un grupo de identidades especiales?
Los grupos de identidades especiales son similares a los grupos de seguridad de Active Directory que aparecen en los contenedores Users y BuiltIn de Active Directory. Los grupos de identidades especiales pueden ofrecer una forma eficaz de asignar acceso a los recursos de la red. Mediante el uso de los grupos de identidades especiales, puede hacer lo siguiente:
Asignar derechos de usuario a grupos de seguridad en Active Directory
Asignar permisos a los grupos de seguridad para acceder a los recursos
Cómo funcionan los grupos de identidades especiales en Windows Server
Si un servidor ejecuta una de las versiones del sistema operativo Windows Server que se muestra en Se aplica a al principio de este artículo, el servidor tiene varios grupos de identidades especiales. Estos grupos de identidades especiales no tienen pertenencias específicas que pueda modificar, pero pueden representar a distintos usuarios en momentos diferentes en función de las circunstancias.
Aunque puede asignar derechos y permisos para recursos específicos a un grupo de identidades especiales, no puede ver ni modificar la pertenencia de un grupo de identidades de este tipo. Los ámbitos de grupo no se aplican a los grupos de identidades especiales. Los usuarios se asignan automáticamente a los grupos de identidades especiales cuando inician sesión o acceden a un recurso específico.
Para obtener información sobre los grupos de seguridad y los ámbitos de grupo de Active Directory, consulte Grupos de seguridad de Active Directory.
Grupos de identidades especiales predeterminados
Los grupos de identidades especiales predeterminados en Windows Server se describen en la lista siguiente:
- Inicio de sesión anónimo
- Propiedad de clave atestada
- Usuarios autenticados
- Identidad afirmada de la autoridad de autenticación
- Batch
- Inicio de sesión de la consola
- Creator Group (CREATOR GROUP)
- Creador Propietario
- Dialup
- Autenticación implícita
- Enterprise Domain Controllers
- Controladores de dominio empresariales de solo lectura
- Todos
- Nueva identidad de clave pública
- Interactivo
- IUSR
- Clave de confianza
- Servicio local
- LocalSystem
- Propiedad de clave MFA
- Network
- Servicio de red
- Autenticación NTLM
- Otra organización
- Derechos de propietario
- Entidad de seguridad propia
- Proxy
- Controlador de dominio de solo lectura
- Inicio de sesión remoto interactivo
- Restringido
- Autenticación SChannel
- Servicio
- Identidad afirmada del servicio
- Usuario de Terminal Server
- This Organization (Esta compañía)
- Administrador de ventanas\Grupo de administrador de ventanas
Inicio de sesión anónimo
Cualquier usuario que acceda al sistema a través de un inicio de sesión anónimo tiene la identidad Inicio de sesión anónimo. Esta identidad permite el acceso anónimo a los recursos, como una página web publicada en un servidor corporativo. El grupo Inicio de sesión anónimo no es miembro del grupo Todos de forma predeterminada.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-7 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Propiedad de clave atestada
Identificador de seguridad (SID) que significa que el objeto de confianza de clave tenía la propiedad de atestación.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-18-6 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Usuarios autenticados
Cualquier usuario que acceda al sistema a través de un proceso de inicio de sesión tiene la identidad Usuarios autenticados. Esta identidad permite el acceso a los recursos compartidos dentro del dominio, como los archivos de una carpeta compartida que deben ser accesibles para todos los trabajadores de la organización. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-11 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | Tener acceso a este equipo desde la red: SeNetworkLogonRight Agregar estaciones de trabajo al dominio: SeMachineAccountPrivilege Omitir comprobación de recorrido: SeChangeNotifyPrivilege |
Identidad afirmada de la autoridad de autenticación
Un SID que significa que la identidad del cliente la afirma una autoridad de autenticación basada en la prueba de posesión de las credenciales de cliente.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-18-1 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Batch
Cualquier usuario o proceso que acceda al sistema como trabajo por lotes o a través de la cola de lotes tiene la identidad Lotes. Esta identidad permite que los trabajos por lotes ejecuten tareas programadas, como un trabajo de limpieza nocturna que elimine archivos temporales. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-3 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | ninguno |
Inicio de sesión de la consola
Un grupo que incluye usuarios que han iniciado sesión en la consola física. Este SID se puede usar para implementar directivas de seguridad que conceden distintos derechos en función de si a un usuario se le ha concedido acceso físico a la consola.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-2-1 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Creator Group (CREATOR GROUP)
La persona que ha creado un archivo o directorio es miembro de este grupo de identidades especiales. El sistema operativo Windows Server usa esta identidad para conceder permisos de acceso de forma automática al creador de un archivo o directorio.
Se crea un SID de marcador de posición en una entrada de control de acceso (ACE) que se puede heredar. Cuando la ACE se hereda, el sistema reemplaza este SID por el SID del grupo primario del propietario actual del objeto. Solo el subsistema POSIX usa el grupo primario.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-3-1 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | ninguno |
Creator Owner (Creador Propietario)
La persona que ha creado un archivo o directorio es miembro de este grupo de identidades especiales. El sistema operativo Windows Server usa esta identidad para conceder permisos de acceso de forma automática al creador de un archivo o directorio. Se crea un SID de marcador de posición en una ACE que se puede heredar. Cuando la ACE se hereda, el sistema reemplaza este SID por el SID del propietario actual del objeto.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-3-0 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | ninguno |
Dialup (DIALUP)
Cualquier usuario que acceda al sistema a través de una conexión de acceso telefónico tiene la identidad Acceso telefónico. Esta identidad distingue a los usuarios con acceso telefónico de otros tipos de usuarios autenticados.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-1 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | ninguno |
Autenticación implícita
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-64-21 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | ninguno |
Enterprise Domain Controllers
Este grupo incluye todos los controladores de dominio de un bosque de Active Directory. Los controladores de dominio con responsabilidades y roles en toda la empresa tienen la identidad Controladores de dominio empresariales. Esta identidad permite a los controladores de dominio realizar determinadas tareas en la empresa mediante el uso de relaciones de confianza transitivas. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-9 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | Tener acceso a este equipo desde la red: SeNetworkLogonRight Permitir el inicio de sesión local: SeInteractiveLogonRight |
Controladores de dominio empresariales de solo lectura
Este grupo incluye todos los controladores de dominio de un bosque de Active Directory. Los controladores de dominio con responsabilidades y roles en toda la empresa tienen la identidad Controladores de dominio empresariales. Excepto para las contraseñas de cuenta, un controlador de dominio de solo lectura (RODC) incluye todos los objetos y atributos de Active Directory que contiene un controlador de dominio grabable. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-21-<RootDomain> |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Todos
Todos los usuarios interactivos, de red, de acceso telefónico y autenticados son miembros del grupo Todos. Este grupo de identidades especiales proporciona un amplio acceso a los recursos del sistema. Cuando un usuario inicia sesión en la red, se agrega automáticamente al grupo Todos. El sistema operativo controla la pertenencia.
En los equipos que ejecutan Windows 2000 y versiones anteriores, el grupo Todos incluía el grupo Inicio de sesión anónimo como miembro predeterminado. A partir de Windows Server 2003, el grupo Todos contiene solo usuarios autenticados e invitados. El grupo ya no incluye la opción Inicio de sesión anónimo de forma predeterminada. Para cambiar la configuración del grupo Todos de forma que incluya el grupo Inicio de sesión anónimo, en el Editor del Registro, vaya a la clave Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa y establezca el valor de DWORD everyoneincludesanonymous en 1.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-1-0 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | Tener acceso a este equipo desde la red: SeNetworkLogonRight Omitir comprobación de recorrido: SeChangeNotifyPrivilege |
Nueva identidad de clave pública
Un SID que significa que la identidad del cliente la afirma una autoridad de autenticación basada en la prueba de posesión actual de las credenciales de clave pública del cliente.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-18-3 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Interactive
Cualquier usuario que haya iniciado sesión en el sistema local tiene la identidad Interactivo. Esta identidad solo permite a los usuarios locales acceder a un recurso. Cuando un usuario accede a un recurso específico en el equipo en el que ha iniciado sesión, el usuario se agrega automáticamente al grupo Interactivo. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-4 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
IUSR
Internet Information Services (IIS) usa esta cuenta de forma predeterminada cuando está habilitada la autenticación anónima.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-17 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Clave de confianza
Un SID que significa que la identidad del cliente se basa en la prueba de posesión de credenciales de clave pública mediante el objeto de confianza de clave.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-18-4 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Servicio local
La cuenta de servicio local es similar a la cuenta de usuario autenticado. Los miembros de la cuenta de servicio local tienen el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema si un servicio o proceso se ve comprometido. Los servicios que se ejecutan como cuenta Servicio local acceden a los recursos de red como sesión nula con credenciales anónimas. El nombre de la cuenta es NT AUTHORITY\LocalService. Esta cuenta no tiene ninguna contraseña.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-19 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | Ajustar las cuotas de la memoria para un proceso: SeIncreaseQuotaPrivilege Omitir comprobación de recorrido: SeChangeNotifyPrivilege Cambiar la hora del sistema: SeSystemtimePrivilege Cambiar la zona horaria: SeTimeZonePrivilege Crear objetos globales: SeCreateGlobalPrivilege Generar auditorías de seguridad: SeAuditPrivilege Suplantar a un cliente tras la autenticación: SeImpersonatePrivilege Reemplazar un símbolo (token) de nivel de proceso: SeAssignPrimaryTokenPrivilege |
LocalSystem (Sistema local)
LocalSystem es una cuenta de servicio y la utiliza el sistema operativo. LocalSystem es una cuenta muy eficaz con acceso total al sistema que actúa como equipo en la red. Si un servicio inicia sesión en la cuenta LocalSystem en un controlador de dominio, ese servicio tiene acceso a todo el dominio. Algunos servicios están configurados de forma predeterminada para iniciar sesión en la cuenta LocalSystem. No cambie la configuración de servicio predeterminada. El nombre de la cuenta es LocalSystem. Esta cuenta no tiene ninguna contraseña.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-18 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Propiedad de clave MFA
Un SID que significa que el objeto de confianza de clave tenía la propiedad de autenticación multifactor (MFA).
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-18-5 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Red
Este grupo incluye implícitamente a todos los usuarios que han iniciado sesión a través de una conexión de red. Cualquier usuario que acceda al sistema a través de una red tiene la identidad Red. Esta identidad solo permite a los usuarios remotos acceder a un recurso. Cuando un usuario acceder a un recurso específico a través de la red, este se agrega automáticamente al grupo Red. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-2 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Servicio de red
La cuenta de servicio de red es similar a la cuenta de usuario autenticado. Los miembros de la cuenta de servicio de red tienen el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema si un servicio o proceso se ve comprometido. Los servicios que se ejecutan en la cuenta de servicio de red tienen acceso a los recursos de red a través de las credenciales de la cuenta de equipo. El nombre de la cuenta es NT AUTHORITY\NetworkService. Esta cuenta no tiene ninguna contraseña.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-20 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | Ajustar las cuotas de la memoria para un proceso: SeIncreaseQuotaPrivilege Omitir comprobación de recorrido: SeChangeNotifyPrivilege Crear objetos globales: SeCreateGlobalPrivilege Generar auditorías de seguridad: SeAuditPrivilege Suplantar a un cliente tras la autenticación: SeImpersonatePrivilege Reemplazar un símbolo (token) de nivel de proceso: SeAssignPrimaryTokenPrivilege |
Autenticación NTLM
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-64-10 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Otra organización
Este grupo incluye implícitamente a todos los usuarios que han iniciado sesión en el sistema a través de una conexión de acceso telefónico. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-1000 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Derechos de propietario
El grupo Derechos de propietario representa al propietario actual del objeto. Cuando una ACE que lleva este SID se aplica a un objeto, el sistema ignora los permisos READ_CONTROL y WRITE_DAC implícitos para el propietario del objeto.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-3-4 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Entidad de seguridad propia
Esta identidad es un marcador de posición de una ACE en un objeto de usuario, grupo o equipo en Active Directory. Cuando se conceden permisos a la entidad de seguridad propia, se conceden permisos a la entidad de seguridad que representa el objeto. Durante una comprobación de acceso, el sistema operativo reemplaza el SID de la entidad de seguridad propia por el SID de la entidad de seguridad representada por el objeto.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-10 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Proxy
Identifica a un proxy SECURITY_NT_AUTHORITY.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-8 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Controlador de dominio de solo lectura
Este grupo incluye todos los controladores de dominio de solo lectura del bosque con derechos de solo lectura en la base de datos de Active Directory. Permite la implementación del controlador de dominio cuando la seguridad física es escasa o no está garantizada. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-21-<dominio> |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Nota
El Grupo de replicación de contraseña RODC denegada se crea de forma automática al crear una cuenta RODC en el bosque. Las contraseñas no se pueden replicar en el Grupo de replicación de contraseña RODC denegada.
Inicio de sesión remoto interactivo
Esta identidad representa a todos los usuarios que han iniciado sesión actualmente en un equipo mediante una conexión de Protocolo de escritorio remoto. Este grupo es un subconjunto del grupo Interactivo. Los tokens de acceso que contienen el SID de inicio de sesión remoto interactivo también contienen el SID interactivo.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-14 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Restringidos
Los usuarios y equipos con funcionalidades restringidas tienen la identidad Restringido. Este grupo de identidades lo usa un proceso que se ejecuta en un contexto de seguridad restringido, como la ejecución de una aplicación con el servicio RunAs. Cuando el código se ejecuta en el nivel de seguridad Restringido, el SID Restringido se agrega al token de acceso del usuario.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-12 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Autenticación SChannel
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-64-14 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Servicio
Cualquier servicio que tenga acceso al sistema tiene la identidad Servicio. Este grupo de identidades incluye todas las entidades de seguridad que han iniciado sesión como servicio. Esta identidad concede acceso a los procesos que ejecutan los servicios de Windows Server. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-6 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | Crear objetos globales: SeCreateGlobalPrivilege Suplantar a un cliente tras la autenticación: SeImpersonatePrivilege |
Identidad afirmada del servicio
Un SID que significa que un servicio afirma la identidad del cliente.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-18-2 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Usuario de Terminal Server
Cualquier usuario que acceda al sistema a través de Terminal Services tiene la identidad Usuario de Terminal Server. Esta identidad permite a los usuarios acceder a las aplicaciones de Terminal Server y realizar otras tareas necesarias con los servicios de Terminal Server. El sistema operativo controla la pertenencia.
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-13 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
This Organization (Esta compañía)
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-15 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | None |
Administrador de ventanas\Grupo de administrador de ventanas
| Atributo | Valor |
|---|---|
| SID/RID conocido | S-1-5-90 |
| Object (clase) | Entidad de seguridad externa |
| Ubicación predeterminada en Active Directory | CN = Entidades de seguridad conocidas, CN = Configuración, DC=<dominioRaízDelBosque> |
| Derechos de usuario predeterminados | Omitir comprobación de recorrido: SeChangeNotifyPrivilege Aumentar el espacio de trabajo de un proceso: SeIncreaseWorkingSetPrivilege |